La conferma giunge dalla stessa Microsoft: Excel, il noto software proprio della suite Office, soffre di una grave vulnerabilità il cui attacco è già stato registrato online mentre nulla è dato invece a sapersi relativamente alla disponibilità di una patch correttiva.
Secondo quanto annunciato in un apposito Microsoft Security Advisory (947563), le versioni vulnerabili sarebbero le seguenti: Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000, Microsoft Excel 2004 per piattaforma Mac. Il gruppo avrebbe già attivato in emergenza il Software Security Incident Response Process (SSIRP) per investigare sull’accaduto.
L’attacco potrebbe provenire da file excel corrotti inviati via mail o depositati su internet: incoraggiandone il download e l’apertura si da il via alle infezioni a catena che rischiano di sollevare una nuova epidemia. Il bollettino Microsoft comunica comunque una serie di fattori mitiganti che dovrebbero soffocare i rischi della prima ora. Microsoft Office Excel 2003 Service Pack 3, Microsoft Office Excel 2007 e Microsoft Excel 2008 per Mac, infatti, non sarebbero vulnerabili al problema. Inoltre senza la necessaria interazione della vittima l’exploit non ha possibilità di andare a segno.
Tra i consigli riportati da Microsoft si segnala quello che suggerisce l’uso del MOICE (Microsoft Office Isolated Conversion Environment) per tradurre in nuovo formato i vecchi file ricreando così un ambiente salubre nel quale l’attacco non può prender vita. Per il resto, a meno di una improvvisa accelerazione delle infezioni, il bug non sarà affrontato con una patch dedicata almeno fino al 12 febbraio, secondo martedì del mese e giorno di patch in casa Microsoft.
Nel frattempo c’è chi le falle ha deciso, sulla scia di precedenti esperimenti mai andati troppo a buon fine, di venderle. Una falla in Windows, ad esempio, sarebbe sul mercato per 20 mila dollari. Ad avviare la cessione è la Digital Armaments.